セブン&アイホールディングスは8月1日、バーコード決済サービス「7pay」において発生した不正アクセス問題を受け、9月末でサービスを廃止すると発表。ネット上では様々な指摘がされています。
「7Pay」9月末で廃止、開始からわずか3カ月
セブン&アイホールディングスは8月1日、バーコード決済サービス「7Pay」を9月末で廃止すると発表しました。サービス開始直後に発生した不正アクセス被害を受け対応を進めていましたが、「サービス提供を継続することは困難であるという結論に至りました」と説明しています。
7Payは7月1日にサービスを開始。翌日には短時間の間に「20万円奪われた」などの不正アクセス被害が判明。7月3日にはクレジットカードおよびデビットカードでのチャージを停止、その後もセブン-イレブン側による対応の悪さがTwitterで話題になっていました。
7月4日にはセブンペイが緊急記者会見を行い、被害の規模は、約900名、約5,500万円と報告。専門家らから、セキュリティの甘さや、不正アクセスによる乗っ取りのしやすさなどが指摘されていました。
「二段階認証……?」7pay緊急記者会見、ユーザーから不安視する声が続出 質疑応答の要点まとめ7payのサービスに関わる経緯
- 7月1日
サービス開始(セブン‐イレブンアプリ上に搭載) - 7月2日
ユーザーから「身に覚えのない取引があった」旨の問合せ - 7月3日
各社ホームページへ「重要なお知らせ」を掲載
海外IPからのアクセスを遮断
クレジット/デビットカードからのチャージ利用を停止 - 7月4日
店舗レジ/セブン銀行ATMからの現金チャージ利用を停止新規会員登録を停止 - 7月5日
「セキュリティ対策プロジェクト」の設置 - 7月6日
モニタリング体制の強化 - 7月11日
外部IDによるログイン停止 - 7月30日
7iDのパスワードリセットの実施 - 8月1日
サービス廃止を決定 - 9月30日
サービス廃止(予定)
セブンペイは今回の不正アクセス被害を受けたユーザーに対し「不正チャージおよび不正利用のいずれかに拘らず被害金額のすべてを補償いたします」と説明。不正アクセスの手口は「リスト型アカウントハッキング」だった可能性が高いと結論づけています。
7Pay廃止でさまざまな声「このままではセブンイレブンへの不信感だけが残る」
7Payのサービス廃止を受け、「現代のグリム童話的な何かとして教科書に載せて語り継いで行くべきではないか」「せめて教訓として後世に伝えられないかと思うけど、バッドノウハウとしても当たり前すぎて学べることが皆無」などの意見があがっています。
セブンペイの即死案件、「上に立つ人間が現場の声に耳を貸さず無理を寄せると、一見めでたく期日までに完成したように見えるが最終的にはとんでもない破滅がやってくる」というカタストロフ訓話としてあまりに完璧なので、現代のグリム童話的な何かとして教科書に載せて語り継いで行くべきではないか https://t.co/AgtIPrdj2r
— cdb (@C4Dbeginner) 2019年8月1日
セブンペイ、なにも良いところがなかったからせめて教訓として後世に伝えられないかと思うけど、バッドノウハウとしても当たり前すぎて学べることが皆無だ。全裸で町内を歩いてたらポリスが来たくらいのシステム開発だ。
— 夕星 (@yuzutz) 2019年8月1日
7pay会見の感想は「無力感」。多くの記者さん・専門家さんがリスト型攻撃ではない証拠・記事を積み上げてきたのにセブン側は「リスト型攻撃である」と。廃止で幕引きのつもりなのかもしれないが、このままではセブンイレブンへの不信感だけが残る。やるせない。
— 三上洋 (@mikamiyoh) 2019年8月1日
チャージ用パスワードが、7iDのパスワードと同一でも問題なしというザル設計。何のために二個目のパスワード入れたんだか
— 三上洋 (@mikamiyoh) 2019年8月1日
「良いんですか、7payみたいになりますよ」というワードと、実際に半年未満でクローズという実績を作ってくれたのは偉い。
— 殺意駆動開発 (@toru_inoue) 2019年8月1日
「セブンペイが終わってもどうせまたイレブンペイとして復活するんだろう」という書き込みを見て、天才を感じた。
— モーリー・ロバートソン (@gjmorley) 2019年8月1日
7payが廃止決めたのは10月から始まる経産省のポイント還元制度のキャッシュレス決済事業者に登録できないのが判明してやる意味なくなったんだろうなって思いましたまる
— ねこ吸い (@8796n) 2019年8月1日
当事者には申し訳ないが、この7pay事件は、日本企業の経営者のITに対する意識を抜本的に変えるきっかけになり得ると思うので、失敗事例として活用させていただく。デジタルの時代は経営者がITにガバナンスを効かせないと大きな被害を出し、ブランド毀損につながることを知らしめた点で“功績”は大きい。 https://t.co/mDuiEi5LRS
— 木村岳史(東葛人) (@toukatsujin) 2019年8月1日
「いまの7payを色に例えると」って聞きたいなぁ。
— 石川 温 (@iskw226) 2019年8月1日
オムニ7を守るために7payを切り捨てた感じだなぁ。
— 石川 温 (@iskw226) 2019年8月1日
残高がなくても買い物できている人がいるが?「ツイッターで確認し、本人と個別に話をしている。7payに絡んでいる話ではないと理解している。個別のことなのでこの場では控える」
— 石川 温 (@iskw226) 2019年8月1日
7pay廃止会見、核心部分が今ひとつ明らかになっていない。Payを止めたことで被害拡大はおそらくないが、プラットフォームになってるオムニ7の脆弱性に問題ないのかは、含みのある回答(続く)#7pay#緊急会見 pic.twitter.com/qghgg8yQEw
— イトー (@itotamo) 2019年8月1日
手がけるサービスによって求められるセキュリティ水準が違う、という回答は確かにそう。しかし、それはオムニ7や7iDの認証基盤は十分守られてる、という回答にはねらないなと。現状のシステムでは絶対にPayはやらないなら、確かに外形的に問題は起こらないのかもしれないが。(続く)#7pay#緊急会見
— イトー (@itotamo) 2019年8月1日
「被害が広がらない」ことと、「被害のロジックが判明して、対策できてる」ことは全然違う。7payというよりセブン&アイのサービス開発に疑問符がついてるのだから、少なくとも、どこがまずかったのか公に説明することが唯一の信頼回復なのだと思うのだけど(続く)#7pay#緊急会見
— イトー (@itotamo) 2019年8月1日
西田さんの質問にもあった、セキュリティ監査する企業を明かさず、公開のレポートも出さないという点も同様。外部からチェックする方法がないのに、密室で十分に対策したから信じてくれ、とはなかなか通りづらいロジック。これだけの問題になってるのだから、自社名でのレポートは出すべきでは#7pay
— イトー (@itotamo) 2019年8月1日
単純なリスト型攻撃だったというのも判然としない。仮にSNSで見かける被害報告やIT記者に近い人物の被害が特例なのだとしても、ロジカルに説明できなければおかしい。不信を残さないためには、透明性のあるセキュリティ分析の公表が不可欠では。#7pay
— イトー (@itotamo) 2019年8月1日
みんなが本丸はOmni7と気付いてる中での本日の会見。期待に違わず幕引きしようとして傷口を広げた / “7payのパスワード全員変更対応は遅すぎる | 岩下直行 公式ホームページ” https://t.co/kCMEyI8uFl
— 楠 正憲 (@masanork) 2019年8月1日